Skip to main content

Le correcteur orthographique de votre navigateur est capable de divulguer vos mots de passe

Mot de passe
(Crédit photo: Shutterstock)

Certaines fonctions de vérification orthographique étendues ajoutées aux navigateurs web Google Chrome et Microsoft Edge laissent échapper des informations sensibles en les transmettant à leurs maisons-mères.

Une analyse réalisée par la société de sécurité JavaScript otto-js (opens in new tab) a révélé que la plupart des utilisateurs activent des fonctions qu'ils croient bénéfiques pour leur productivité. Cependant, ces derniers divulguent des informations personnelles (noms d'utilisateur, e-mails, mots de passe, etc.) aux éditeurs respectifs de ces navigateurs.

Les éditions standards des deux navigateurs web disposent de fonctions de vérification orthographique, activées par défaut, qui ne transmettent pas de données à Google ou à Microsoft. La fonction "Vérification orthographique améliorée" de Chrome et l'"Éditeur Microsoft" d'Edge sont des modules complémentaires exclusivement facultatifs que les utilisateurs doivent autoriser explicitement. S'il est clairement indiqué que vos données seront renvoyées aux deux sociétés afin d'améliorer les produits, il n'est pas mentionné aussi explicitement que vos informations personnelles identifiables (PII) pourraient faire partie de ce transfert de data.

Évitez de cocher cette case

En exploitant la plupart des champs de texte d'une page Web, les deux outils ont accès à "pratiquement tout", selon otto-js. Cela signifie que toutes les données que vous saisissez en ligne, y compris votre date de naissance, vos détails de paiement, vos coordonnées et vos identifiants de connexion, pourraient être renvoyées à Google et à Microsoft.

La plupart des sites web qui bloquent les mots de passe en ligne masquent ces informations très sensibles aux outils de vérification orthographique. Mais lorsqu'un utilisateur clique pour découvrir le texte (peut-être pour vérifier s'il l'a tapé correctement), les informations sont ensuite exposées.

Bleeping Computer a mis en lumière la transmission de noms d'utilisateur à SSA.gov, Bank of America et Verizon, en utilisant Chrome. Les mots de passe étant également exposés auprès de Facebook uniquement lorsque l’utilisateur a cliqué sur le bouton "Afficher le mot de passe".

Pour minimiser l'exposition, les développeurs Web peuvent inclure la requête "spellcheck=false" dans tous les champs de saisie exposant des informations sensibles. Ce qui bloque effectivement ces champs pour les outils de vérification orthographique, même si cela signifie bien sûr que le correcteur orthographique sera désactivé dans ces entrées.

Pour l'utilisateur, la désactivation temporaire des vérificateurs d'orthographe améliorés ou leur suppression complète du navigateur semblent être les seuls moyens de protéger les données, du moins jusqu'à ce que l'une ou l'autre des entreprises révise sa politique de confidentialité.

With several years’ experience freelancing in tech and automotive circles, Craig’s specific interests lie in technology that is designed to better our lives, including AI and ML, productivity aids, and smart fitness. He is also passionate about cars and the electrification of personal transportation. As an avid bargain-hunter, you can be sure that any deal Craig finds is top value!